Apple安全神話の終焉

2013年7月29日

Appleと、同社を神のごとく崇めるユーザーは、Apple製品がマルウェアのないプラットフォームであることを長きにわたって誇りとしてきました。そのような時代が終わったことに議論の余地はありません。カリフォルニア州クパチーノに本社を置くIT大手Appleは、モバイルコンピューティング市場の黎明期に成功を収め、(少なくとも過去2年間は)従来型のコンピューターとラップトップの市場でシェアを拡大しており、かつてはAppleを標的にしてもお金にならないと考えていたサイバー犯罪者も、同社に関心を寄せるようになりました。

Apple神話-title

新たな厳しい現実として、Appleを含めどんなプラットフォームも脅威とは無縁ではありません。むしろAppleはさまざまな方向から包囲されていると言えます。攻撃者も研究者も、Appleのモバイル製品、従来型コンピューター、そしてリモートアクセス可能なクラウドサービスにもぜい弱性を発見し、エクスプロイトを作成しています。

AppleのモバイルオペレーティングシステムiOSは、iPhoneまたはiPadからコンピューターへのテザリング機能がありますが、先ごろドイツの大学の研究者チームが、テザリングの事前共有鍵の設定に使われる既定のパスワード生成式をリバースエンジニアリングしました。事前共有鍵は1つの単語に4桁の数字を付け足したもので、iPhoneから別のマシンをインターネットに接続するときにユーザーを認証します。Appleがこれらの事前共有鍵を生成する方法に一連の弱点を発見した研究者らは、iOSのテザリング用パスワードを1分未満で確実に(百発百中で)クラッキングすることに成功しています。

Android風とも言われるiOS 7のロック画面は、ベータ版のリリース直後にスペインのユーザーによって簡単に迂回されてしまいました。公平を期すために言っておくと、これはベータリリースです。ベータ版は一般的にバグが多いものですが、今回迂回されたのは多くのユーザーがダウンロードしたパブリックベータでした。

今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした

非常に多くのユーザーが使用するAppleのミュージックプレーヤーiTunesと、絶大な人気を誇るアプリケーションマーケットプレイスApp Storeは、これまでもかなりのフィッシング攻撃やアカウント乗っ取りを受けてきました。こうしたフィッシング攻撃やアカウント乗っ取りは、Apple固有のものでもなければ、無視できる程度のものでもありませんでしたが、AppleのユーザーIDと支払い情報を狙ったフィッシング攻撃が最近になって劇的に増加しています。Apple IDはユーザーが自分のすべてのAppleアカウントとデバイスにアクセスするための鍵のようなものです。

今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした

Kaspersky LabのNadezhda Demidovaはこの傾向を分析するなかで次のように述べています。「詐欺師は公式のapple.comサイトを模倣したフィッシングサイトを利用します。2012年初頭から現在までの間に、こうしたサイトにアクセスしようとするカスペルスキー製品のユーザーをWebアンチウイルスが検知した件数が大幅に増加しました。この期間の1日当たりの平均検知数は約200,000回です。一方、2011年の検知数は1日あたり1,000回でした。」

新種のMacマルウェアはかつてないペースで登場しています。つい先日も、FBIを装ってOS Xユーザーを狙う、ランサムウェアを使った詐欺についての記事を書きました。また、ウイグルやチベットの活動家を狙ったMacマルウェアについての記事を1か月間読まない(あるいは自分で書かない)ことはないように思えます。また、OS Xのバックドアもありましたし、オスロで開催された監視対策のワークショップで研究者がMacマルウェアの新たな亜種を公開したというケースもありました。

先日はAppleの開発者向けサイトに攻撃者が侵入しました。侵入の目的は明らかになっていませんが、この攻撃者の標的がWindowsユーザーでないことは間違いないでしょう。

他にも、全プラットフォーム共通の多様な脅威が数多く存在します。ホストコンピューターのオペレーティングシステムを特定する能力を備え、OSへの侵入に適した悪質スクリプトを含むものです。

突き詰めていくと、どのプラットフォームを使っているかはあまり問題になりません。盗むお金があれば、つまり探す価値のある情報があれば、あなたのコンピューターも標的として成立します。ユーザーにできることは、常に用心し、強力なセキュリティ製品を使用して、すべてのソフトウェアを最新の状態に保つことです。